[go: up one dir, main page]

JP6040194B2 - Access authority processing system, access authority processing method, and program - Google Patents

Access authority processing system, access authority processing method, and program Download PDF

Info

Publication number
JP6040194B2
JP6040194B2 JP2014079674A JP2014079674A JP6040194B2 JP 6040194 B2 JP6040194 B2 JP 6040194B2 JP 2014079674 A JP2014079674 A JP 2014079674A JP 2014079674 A JP2014079674 A JP 2014079674A JP 6040194 B2 JP6040194 B2 JP 6040194B2
Authority
JP
Japan
Prior art keywords
information
access
anonymized
analysis
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014079674A
Other languages
Japanese (ja)
Other versions
JP2015201049A (en
Inventor
将浩 白石
将浩 白石
良浩 伊藤
良浩 伊藤
真弓 林
真弓 林
池田 美穂
美穂 池田
前田 裕二
裕二 前田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014079674A priority Critical patent/JP6040194B2/en
Publication of JP2015201049A publication Critical patent/JP2015201049A/en
Application granted granted Critical
Publication of JP6040194B2 publication Critical patent/JP6040194B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Description

この発明は、医療情報などの機密情報を処理するアクセス権限処理システム、アクセス権限処理方法、及びプログラムに関する。   The present invention relates to an access authority processing system, an access authority processing method, and a program for processing confidential information such as medical information.

医療情報を流通させ、統計分析などに2次利用することが考えられている。例えば、流通しているデータを集め、統計処理をすることによって、地域ごとの疾病状況、及びある年のインフルエンザの流行状況を検出し、将来の製薬や公衆衛生管理の参考とするといったユースケースである。   It is considered that medical information is distributed and secondarily used for statistical analysis. For example, by collecting data in circulation and performing statistical processing, it is possible to detect the disease status of each region and the epidemic status of influenza in a certain year and use it as a reference for future pharmaceutical and public health management. is there.

医療情報は、「医療情報を受託管理する情報処理事業者向けガイドライン(http://www.meti.go.jp/policy/it_policy/privacy/iryouglv2.pdf)」などの各種ガイドラインや個人情報保護法に従った形式で保管・流通される必要がある。統計分析などの2次利用として収集したデータであっても個人が特定される形式でデータを保管することは、個人情報保護の観点から適切ではない。収集したデータについても、第三者に個人を特定されないように分析に利用してもらうことと保管することが重要である。   Medical information includes various guidelines such as “Guidelines for Information Processing Businesses that Entrust Management of Medical Information (http://www.meti.go.jp/policy/it_policy/privacy/iryouglv2.pdf)” and the Personal Information Protection Law. Need to be stored and distributed in a format that complies with Even for data collected for secondary use such as statistical analysis, it is not appropriate from the viewpoint of personal information protection to store data in a format that identifies individuals. It is also important that the collected data is used for analysis and stored so that individuals are not identified by a third party.

収集したデータを用いて、第三者に個人を特定されない形式で分析利用させる技術として、匿名化技術が知られている。匿名化技術は様々あるが、基本的には個人が特定されるような情報(氏名、性別)をマスクする、あるいはぼかした値にする処理を行う。マスクする場合、個人名を全く異なる値に書き替える、住所などの情報を県単位に書き替える。ぼかした値にする場合、年齢が23才であっても、23才の人が一人であれば、全体的に20才代と表現する様に値を書き替える。   An anonymization technique is known as a technique that uses a collected data to analyze and use an individual in a format that does not specify an individual. There are various anonymization techniques, but basically, information (name, gender) that identifies an individual is masked or a blurred value is processed. In the case of masking, the personal name is rewritten to a completely different value, and information such as an address is rewritten for each prefecture. In the case of a blurred value, even if the age is 23, if there is only one person who is 23 years old, the value is rewritten so that it is expressed as 20 years old as a whole.

特開2006−324076JP 2006-324076 A 特許4843325Patent 4844325

上記匿名化技術によって、個人情報が保護された情報(母集団)からの分析処理(例えば統計処理)が可能となる。しかしながら、1つの母集団の情報に対する複数種類の匿名化処理により得られる複数種類の匿名化情報(から生成される複数種類の分析結果)を無制限に提供すると、一人の人物が複数種類の匿名化情報(又は複数種類の分析結果)を入手し、これら複数種類の匿名化情報(又は複数種類の分析結果)を組み合わせて分析することにより、匿名化された個人情報が絞り込まれたり、推測されたり、或いは特定されたりする可能性がある。そのため、このような分析から匿名化された個人情報が絞り込まれたり、推測されたり、或いは特定されたりするのを防止する仕組みが要望されている。   The anonymization technique enables analysis processing (for example, statistical processing) from information (population) in which personal information is protected. However, when an unlimited number of types of anonymization information (a plurality of types of analysis results generated from) obtained by a plurality of types of anonymization processing for information on one population is provided, one person can make multiple types of anonymization. By obtaining information (or multiple types of analysis results) and analyzing by combining these multiple types of anonymized information (or multiple types of analysis results), anonymized personal information can be narrowed down or guessed Or may be specified. Therefore, there is a demand for a mechanism that prevents personal information that has been anonymized from such analysis from being narrowed down, estimated, or specified.

この発明は上記事情に着目してなされたもので、1つの母集団から生成された複数種類の匿名化情報の分析結果から匿名化された個人情報が絞り込まれたり、推測されたり、或いは特定されたりするのを防止することが可能な情報処理システム、アクセス権限処理方法、及びプログラムを提供することにある。   The present invention has been made paying attention to the above circumstances, and anonymized personal information is narrowed down, estimated, or specified from the analysis results of plural types of anonymized information generated from one population. It is an object to provide an information processing system, an access authority processing method, and a program.

上記目的を達成するためにこの発明のアクセス権限処理システム、アクセス権限処理方法、及びプログラムは、以下のように構成されている。   In order to achieve the above object, an access authority processing system, an access authority processing method, and a program according to the present invention are configured as follows.

(1)アクセス権限処理システムは、匿名化処理により得られる匿名化情報への分析要求を受付ける受付手段と、前記分析要求に基づきログを抽出する抽出手段と、前記分析要求に基づき制御ルールを参照する参照手段と、前記ログ及び前記制御ルールに基づき前記匿名化情報へのアクセスの可否を判定する判定手段と、前記匿名化情報へのアクセス許可の判定に基づき前記匿名化情報の分析結果を提供する情報提供手段と、を備える。   (1) The access authority processing system refers to a receiving means for receiving an analysis request for anonymized information obtained by anonymization processing, an extraction means for extracting a log based on the analysis request, and a control rule based on the analysis request Providing an analysis result of the anonymized information based on determination of access permission to the anonymized information, determination means for determining whether or not access to the anonymized information is based on the log and the control rule Information providing means.

(2)さらに、上記(1)のアクセス権限処理システムの前記抽出手段は、前記分析要求に基づき、前記匿名化情報の母集団に関する操作ログを抽出し、前記参照手段は、前記分析要求に基づき、前記母集団に関するアクセス制御ルールを参照し、前記判定手段は、前記操作ログ及び前記アクセス制御ルールに基づき前記匿名化情報へのアクセスの可否を判定する。   (2) Furthermore, the extraction means of the access authority processing system of (1) above extracts an operation log related to the population of the anonymized information based on the analysis request, and the reference means is based on the analysis request. , Referring to the access control rule relating to the population, the determination means determines whether or not access to the anonymized information is possible based on the operation log and the access control rule.

(3)さらに、上記(2)のアクセス権限処理システムの前記操作ログは、前記母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理を実施したかを示す情報を含み、前記アクセス制限ルールは、前記母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理までであれば前記匿名化情報へのアクセスを許容するかを示す情報を含む。   (3) Further, the operation log of the access authority processing system according to (2) includes information indicating how many types of statistical processing have been performed on one or more types of anonymized information generated from the population. The access restriction rule includes information indicating how many types of statistical processing are allowed for one or more types of anonymization information generated from the population, and permitting access to the anonymization information .

(4)さらに、上記(1)乃至(3)の何れか1つのアクセス権限処理システムの前記情報提供手段は、前記匿名化情報へのアクセス許可の判定に基づき分析処理部へ前記匿名化情報の分析を要求し、前記匿名化情報の前記分析結果を受け取り、前記分析結果を提供する。   (4) Further, the information providing means of any one of the access authority processing systems according to (1) to (3) may send the anonymized information to the analysis processing unit based on a determination of permission to access the anonymized information. Request an analysis, receive the analysis result of the anonymized information, and provide the analysis result.

(5)アクセス権限処理方法は、匿名化処理により得られる匿名化情報の分析要求を受付け、前記分析要求に基づきログを抽出し、前記分析要求に基づき制御ルールを参照し、前記ログ及び前記制御ルールに基づき前記匿名化情報へのアクセスの可否を判定し、前記匿名化情報へのアクセス許可の判定に基づき前記匿名化情報の分析結果を提供する。   (5) The access authority processing method receives an analysis request for anonymized information obtained by anonymization processing, extracts a log based on the analysis request, refers to a control rule based on the analysis request, the log and the control Whether to access the anonymized information is determined based on a rule, and an analysis result of the anonymized information is provided based on determination of permission to access the anonymized information.

(6)プログラムは、上記(1)乃至(4)の何れか1つのアクセス権限処理システムが備える各手段の処理をコンピュータに実行させる。   (6) The program causes the computer to execute processing of each unit included in any one of the access authority processing systems (1) to (4).

すなわちこの発明によれば、1つの母集団から生成された複数種類の匿名化情報の分析結果から匿名化された個人情報が絞り込まれたり、推測されたり、或いは特定されたりするのを防止することが可能なアクセス権限処理システム、アクセス権限処理方法、及びプログラムを提供することができる。   That is, according to the present invention, it is possible to prevent personal information that has been anonymized from being narrowed down, estimated, or specified from the analysis results of a plurality of types of anonymized information generated from a single population. An access authority processing system, an access authority processing method, and a program can be provided.

上記(1)のアクセス権限処理システム、上記(5)のアクセス権限処理方法、及び上記(6)のプログラムによれば、ログ及び制御ルールに基づき、分析要求される第1の匿名化情報へのアクセスの可否を判定し、アクセスが許可された場合に、第1の匿名化情報の分析結果を提供するので、1つの母集団の情報に対して実行される複数種類の匿名化処理により匿名化された複数種類の匿名化情報から生成される複数種類の分析結果を得ることに制限を持たせることができる。これにより、制限された分析結果しか提供されないので、許可される数を超えて分析結果を集めて第1の匿名化情報を復元しようとする行為を防止することができる。   According to the access authority processing system of (1), the access authority processing method of (5), and the program of (6), the first anonymized information requested for analysis based on the log and the control rule When access is permitted and access is permitted, the analysis result of the first anonymized information is provided, so anonymization is performed by a plurality of types of anonymization processes executed on information of one population It is possible to give a restriction to obtaining a plurality of types of analysis results generated from the plurality of types of anonymized information. Thereby, since only limited analysis results are provided, it is possible to prevent an act of collecting the analysis results exceeding the permitted number and restoring the first anonymized information.

上記(2)のアクセス権限処理システムによれば、前記匿名化情報の母集団に関する操作ログ及び前記母集団に関するアクセス制御ルールに基づき前記匿名化情報へのアクセスを制限することができる。   According to the access authority processing system of (2) above, it is possible to restrict access to the anonymized information based on an operation log related to the population of the anonymized information and an access control rule related to the population.

上記(3)のアクセス権限処理システムによれば、前記母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理を実施したかを示す情報及び前記母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理までであれば前記匿名化情報へのアクセスを許容するかを示す情報に基づき前記匿名化情報へのアクセスを制限することができる。   According to the access authority processing system of (3) above, information indicating how many types of statistical processing have been performed on one or more types of anonymized information generated from the population and generated from the population Access to the anonymized information can be restricted based on information indicating how many types of statistical processing are allowed for one or more types of anonymized information and access to the anonymized information is permitted.

上記(4)のアクセス権限処理システムによれば、アクセスが許可された場合に前記匿名化情報の分析結果を受け取るので、アクセスが許可されない場合には分析結果を提供しないことにより、前記匿名化情報の元となる医療情報等の機密情報を安全に管理することができる。   According to the access authority processing system of (4), since the analysis result of the anonymization information is received when access is permitted, the anonymization information is not provided by providing no analysis result when access is not permitted. It is possible to safely manage confidential information such as medical information.

実施形態に係るアクセス権限処理システムの概略構成を示す図である。It is a figure showing a schematic structure of an access authority processing system concerning an embodiment. 統計処理操作ログの一例を示す図である。It is a figure which shows an example of a statistical processing operation log. 統計処理操作ログアクセス制御ルールの一例を示す図である。It is a figure which shows an example of a statistical processing operation log access control rule. 実施形態に係るアクセス権限処理システムによる処理シーケンスの一例を示す図である。It is a figure which shows an example of the processing sequence by the access authority processing system which concerns on embodiment. 実施形態に係るアクセス権限処理システムによるログ検索条件取得及び過去ログ検索の一例を示すフローチャートである。It is a flowchart which shows an example of log search condition acquisition by the access authority processing system which concerns on embodiment, and a past log search. 実施形態に係るアクセス権限処理システムによるアクセス判定(ST14)の一例を示す図である。It is a figure which shows an example of the access determination (ST14) by the access authority processing system which concerns on embodiment.

以下、図面を参照してこの発明に係わる実施形態を説明する。   Embodiments according to the present invention will be described below with reference to the drawings.

図1は、実施形態に係るアクセス権限処理システムの概略構成を示す図である。図1に示すように、アクセス権限処理システムは、分析受付GW(Gateway)1、データ出力部2、基本分析部3、統計処理操作ログ記憶部4、アクセス制御部5、アクセス制御ルール記憶部6、年齢構成に関する匿名化処理済み情報DB(Data Base)7、地域構成に関する匿名化処理済み情報DB8、体型構成に関する匿名化処理済み情報DB9、統計処理用(医療)情報DB10、匿名化処理部11を備える。   FIG. 1 is a diagram illustrating a schematic configuration of an access authority processing system according to the embodiment. As shown in FIG. 1, the access authority processing system includes an analysis reception GW (Gateway) 1, a data output unit 2, a basic analysis unit 3, a statistical processing operation log storage unit 4, an access control unit 5, and an access control rule storage unit 6. , Anonymized information DB (Data Base) 7 related to age structure, anonymized processed information DB 8 related to regional structure, anonymized processed information DB 9 related to body structure, statistical processing (medical) information DB 10, anonymized processing unit 11 Is provided.

ここで、アクセス権限処理システムを構成する各部の詳細について簡単に説明する。なお、各部の詳細については後に説明する。分析受付GW1は、インターネット12を介して、分析者のパーソナルコンピュータ等からのアクセス(医療情報の分析要求等)を受付けることができる。データ出力部2は、分析者のパーソナルコンピュータ等からのアクセス(医療情報の分析要求等)に対応して、分析結果(匿名化された医療情報の統計処理結果等)を提供することができる。基本分析部3は、分析者のパーソナルコンピュータ等からのアクセス(医療情報の分析要求等)に対応して、年齢構成に関する匿名化処理済み情報、地域構成に関する匿名化処理済み情報、又は体型構成に関する匿名化処理済み情報を分析する。なお、本実施形態では、複数の匿名化処理として、年齢構成に関する匿名化処理、地域構成に関する匿名化処理、及び体型構成に関する匿名化処理について説明するが、これらに限定されるものではなく、さらに他の匿名化処理と組み合わせることもできる。   Here, the detail of each part which comprises an access authority processing system is demonstrated easily. Details of each part will be described later. The analysis reception GW 1 can receive an access (analysis request for medical information, etc.) from an analyst's personal computer or the like via the Internet 12. The data output unit 2 can provide an analysis result (such as a statistical processing result of anonymized medical information) in response to an access (such as a medical information analysis request) from an analyst's personal computer. The basic analysis unit 3 relates to an anonymized information regarding the age structure, anonymized information regarding the regional structure, or a figure structure corresponding to an access (analysis request for medical information, etc.) from an analyst's personal computer or the like. Analyze anonymized information. In addition, although this embodiment demonstrates the anonymization process regarding an age structure, the anonymization process regarding an area structure, and the anonymization process regarding a body structure as a some anonymization process, it is not limited to these, Furthermore, It can also be combined with other anonymization processes.

統計処理操作ログ記憶部4は、図2に示す統計処理操作ログ(分析処理操作ログ)を記憶し、統計処理操作に応じて統計処理操作ログを更新する。アクセス制御ルール記憶部6は、図3に示す統計処理操作ログアクセス制御ルール(以下、アクセス制御ルール)を記憶する。アクセス制御部5は、分析者のパーソナルコンピュータ等からのアクセス(医療情報の分析要求等)に対応して、図2に示す統計処理操作ログ及び図3に示すアクセス制御ルールに基づき、アクセスの可否を判定し、アクセス可能判定に基づき齢構成に関する匿名化処理済み情報、地域構成に関する匿名化処理済み情報、又は体型構成に関する匿名化処理済み情報へのアクセスを許可し、アクセス不能判定に基づきこれら情報へのアクセスを許可しない。なお、アクセス制御ルールはアクセス制御ルール記憶部6に記憶され、このアクセス制御ルールにおいて定義を設定する方法は、SQL(Structured Query Language)等でアクセス制御ルール記憶部6に記憶されたアクセス制御ルールを直接編集してもよいし、GUI(Graphical User Interface)等を分析受付GW1に用意し、GUI等からアクセス制御ルール記憶部6に記憶されたアクセス制御ルールを編集するようにしてもよい。   The statistical processing operation log storage unit 4 stores the statistical processing operation log (analysis processing operation log) illustrated in FIG. 2 and updates the statistical processing operation log according to the statistical processing operation. The access control rule storage unit 6 stores the statistical processing operation log access control rule (hereinafter, access control rule) shown in FIG. The access control unit 5 responds to access from an analyst's personal computer or the like (medical information analysis request, etc.) based on the statistical processing operation log shown in FIG. 2 and the access control rule shown in FIG. Based on the accessibility determination, the access to the anonymized information regarding the age structure, the anonymized information regarding the regional structure, or the anonymized information regarding the body structure is permitted, and these information based on the inaccessibility determination Do not allow access to The access control rule is stored in the access control rule storage unit 6, and the method of setting the definition in this access control rule is to use the access control rule stored in the access control rule storage unit 6 using SQL (Structured Query Language) or the like. You may edit directly, GUI (Graphical User Interface) etc. may be prepared in analysis reception GW1, and the access control rule memorize | stored in the access control rule memory | storage part 6 from GUI etc. may be edited.

統計処理用情報DB10は、医療情報(母集団の情報)を記憶する。匿名化処理部11は、匿名化処理(任意の匿名化処理)により、統計処理用情報DB10に記憶された医療情報から匿名化処理済みの医療情報を生成する。例えば、匿名化処理部11は、医療情報(母集団の情報)に対する年齢構成に関する匿名化処理により、医療情報から年齢構成に関する匿名化処理済みの医療情報を生成する。また、匿名化処理部11は、医療情報(母集団の情報)に対する地域構成に関する匿名化処理により、医療情報から地域構成に関する匿名化処理済みの医療情報を生成する。匿名化処理部11は、医療情報(母集団の情報)に対する体型構成に関する匿名化処理により、医療情報から体型構成に関する匿名化処理済みの医療情報を生成する。年齢構成に関する匿名化処理済み情報DB7は、年齢構成に関する匿名化処理済みの医療情報を記憶する。地域構成に関する匿名化処理済み情報DB8は、地域構成に関する匿名化処理済みの医療情報を記憶する。体型構成に関する匿名化処理済み情報DB9は、体型構成に関する匿名化処理済みの医療情報を記憶する。なお、匿名社処理済みの医療情報は、分析処理終了後に削除される。   The statistical processing information DB 10 stores medical information (population information). The anonymization processing unit 11 generates anonymized medical information from the medical information stored in the statistical processing information DB 10 by an anonymization process (arbitrary anonymization process). For example, the anonymization process part 11 produces | generates the medical information by which the anonymization process regarding the age structure was completed from medical information by the anonymization process regarding the age structure with respect to medical information (population information). Moreover, the anonymization process part 11 produces | generates the medical information by which the anonymization process regarding the regional structure was completed from the medical information by the anonymization process regarding the local structure with respect to medical information (population information). The anonymization process part 11 produces | generates the medical information by which the anonymization process regarding the body type structure was completed from medical information by the anonymization process regarding the body type structure with respect to medical information (population information). The anonymization-processed information DB 7 regarding the age configuration stores medical information that has been anonymized regarding the age configuration. The anonymized information DB8 regarding the regional configuration stores medical information that has been anonymized regarding the regional configuration. The anonymized information DB 9 relating to the body configuration stores medical information that has been anonymized relating to the body configuration. The medical information that has been processed by the anonymous company is deleted after the analysis process is completed.

なお、本実施形態では、医療情報を処理するアクセス権限処理システムについて説明するが、処理する情報は医療情報に限定されるものではなく、機密性が高く且つ一部の情報を隠す必要のある情報について適用可能である。   In this embodiment, an access authority processing system that processes medical information will be described. However, the information to be processed is not limited to medical information, and information that is highly confidential and needs to hide some information. Is applicable.

図4は、図1に示すアクセス権限処理システムによる処理シーケンスの一例を示す図である。図4に示すように、分析者は、例えばパーソナルコンピュータにより、ネットワーク12を介して分析受付GW1へアクセスし、公開分析処理一覧を要求する(ST1)。分析受付GW1は、分析処理要求に応じた匿名化処理済み情報DB(年齢構成に関する匿名化処理済み情報DB7、地域構成に関する匿名化処理済み情報DB8、又は体型構成に関する匿名化処理済み情報DB9)を検索し(ST2)、匿名化処理済み情報DBからの検索結果の返却を受信する(ST3)。さらに、分析受付GW1は、基本分析部3に対して、基本分析機能の有無を検索し(ST4)、検索結果の返却を受信する(ST5)
分析者が、例えばパーソナルコンピュータにより、ネットワーク12を介して分析受付GW1へアクセスし、分析処理(匿名化情報の分析処理)を要求すると(ST6)、分析受付GW1は、分析処理要求に基づき、ログ出力(いつ、どこからのアクセスでどの組織の、誰がどの母集団に対して、どういう匿名化した情報をどうしたいか)を要求し、アクセス制御判定を要求する(ST8)。例えば、アクセス制御判定要求は、アクセス元(グローバルIPアドレス(124.5.x.13)及びドメイン名の少なくとも一方)、組織名(Xx研究所)、担当者(氏名a)、母集団(A年度全国医療情報)、匿名化等の情報処理(地域構成別医療費統計)、出力形態(グラフ出力)等の情報を含む。なお、利用者は、あらかじめ分析受付GWの利用に関する申請(アクセス権限処理システムへのアカウント登録)を済ませていることが前提となる。また、母集団の情報に対してラベル(A年度全国医療情報)が付けられている場合に、このラベルを使ったログ管理及びアクセス制御判定が可能となる。 FIG. 4 is a diagram showing an example of a processing sequence by the access authority processing system shown in FIG. As shown in FIG. 4, the analyst accesses the analysis reception GW1 via the network 12, for example, by a personal computer, and requests a public analysis processing list (ST1). The analysis reception GW1 receives an anonymized information DB (anonymized information DB7 regarding age structure, anonymized information DB8 regarding regional structure, or anonymized information DB9 regarding body structure) in response to an analysis processing request. A search is performed (ST2), and a return of the search result from the anonymized information DB is received (ST3). Further, the analysis reception GW1 searches the basic analysis unit 3 for the presence / absence of the basic analysis function (ST4), and receives the return of the search result (ST5).
When an analyst accesses the analysis reception GW1 via the network 12, for example, by a personal computer and requests an analysis process (anonymization information analysis process) (ST6), the analysis reception GW1 logs based on the analysis process request. Requesting output (when and where from which organization, who wants what kind of anonymized information, what kind of anonymized information is desired) and access control determination are requested (ST8). For example, the access control determination request includes the access source (global IP address (124.5.x.13) and / or domain name), organization name (Xx Laboratories), person in charge (name a), population (national in fiscal year A) Medical information), information processing such as anonymization (medical cost statistics according to regional composition), output form (graph output), and the like. It is assumed that the user has already applied for the use of the analysis reception GW (account registration in the access authority processing system) in advance. In addition, when a label (A-year national medical information) is attached to the population information, log management and access control determination using this label are possible.

アクセス制御部5は、アクセス制御判定要求に基づき、アクセス制御ルール記憶部6に記憶されているアクセス制御ルールを検索し(ST9)、検索結果の返却を受信する(ST10)。アクセス制御部5は、ログ検索条件を取得し(ST11)、統計処理操作ログ記憶部4に対して該当するログ(統計処理操作ログ等)を検索し(ST12)、検索結果の返却を受信する(ST13)。アクセス制御部5は、アクセス制御ルール及び統計処理操作ログに基づき、アクセス可否を判定し(ST14)、判定結果を送信する。   Based on the access control determination request, the access control unit 5 searches for an access control rule stored in the access control rule storage unit 6 (ST9), and receives a search result return (ST10). The access control unit 5 acquires log search conditions (ST11), searches the corresponding log (statistical processing operation log etc.) in the statistical processing operation log storage unit 4 (ST12), and receives a return of the search result. (ST13). The access control unit 5 determines whether access is possible based on the access control rule and the statistical processing operation log (ST14), and transmits the determination result.

例えば、分析処理要求が母集団(A年度全国医療情報)の分析処理要求を含む場合、アクセス制御判定要求が母集団(A年度全国医療情報)のアクセス制御判定要求を含み、母集団(A年度全国医療情報)に関する操作ログが取得され、母集団(A年度全国医療情報)に関するアクセス制御ルールが取得される。これにより、アクセス制御部5は、母集団(A年度全国医療情報)に関する操作ログ及び母集団(A年度全国医療情報)に関するアクセス制御ルールに基づき、アクセス可否を判定する。   For example, when an analysis processing request includes an analysis processing request for a population (A year national medical information), an access control determination request includes an access control determination request for a population (A fiscal year national medical information), and a population (A year An operation log relating to national medical information is acquired, and an access control rule relating to the population (A year national medical information) is acquired. Thereby, the access control unit 5 determines whether or not access is possible based on the operation log regarding the population (A year national medical information) and the access control rule regarding the population (A year national medical information).

例えば、母集団(A年度全国医療情報)に関する操作ログが、母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理を実施したかを示す情報を含む。また、母集団(A年度全国医療情報)に関するアクセス制御ルールが、母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理までであれば匿名化情報へのアクセスを許容するかを示す情報を含む。   For example, the operation log relating to the population (A year national medical information) includes information indicating how many types of statistical processing have been performed on one or more types of anonymized information generated from the population. In addition, access to anonymized information is permitted if the access control rules related to the population (A national medical information in fiscal year A) include up to one or more types of statistical processing for one or more types of anonymized information generated from the population. Contains information indicating what to do.

例えば、操作ログが、4種類の統計処理を実施したことを示す情報を含み、アクセス制御ルールが、5種類の統計処理までであれば前記匿名化情報へのアクセスを許容することを示す情報を含む場合、アクセス制御部5は、母集団(A年度全国医療情報)から生成された匿名化情報へのアクセスを許可する。操作ログが、5種類の統計処理を実施したことを示す情報を含み、アクセス制御ルールが、5種類の統計処理までであれば前記匿名化情報へのアクセスを許容することを示す情報を含む場合、アクセス制御部5は、次の統計処理が6種類目の統計処理でなければ、母集団(A年度全国医療情報)から生成された匿名化情報へのアクセスを許可し、次の統計処理が6種類目の統計処理であれば、母集団(A年度全国医療情報)から生成された匿名化情報へのアクセスを許可しない。さらに、アクセス制御ルールが、「過去いつまでの間に」という条件文を含むこともできる。例えば、アクセス制御ルールが、「過去1年の間に」という条件文を含む場合、アクセス制御部5は、次の統計処理が過去1年の間で6種類目の統計処理でなければ、母集団(A年度全国医療情報)から生成された匿名化情報へのアクセスを許可し、次の統計処理が過去1年の間で6種類目の統計処理であれば、母集団(A年度全国医療情報)から生成された匿名化情報へのアクセスを許可しない。   For example, the operation log includes information indicating that four types of statistical processing have been performed, and information indicating that access to the anonymized information is allowed if the access control rule is up to five types of statistical processing. If included, the access control unit 5 permits access to the anonymized information generated from the population (A-year national medical information). When the operation log includes information indicating that five types of statistical processing have been performed, and the access control rule includes information indicating that access to the anonymized information is permitted if up to five types of statistical processing are performed If the next statistical process is not the sixth type of statistical process, the access control unit 5 permits access to the anonymized information generated from the population (national medical information in fiscal year A), and the next statistical process In the case of the sixth type of statistical processing, access to the anonymized information generated from the population (national medical information in fiscal year A) is not permitted. Further, the access control rule may include a conditional statement “until the past”. For example, when the access control rule includes a conditional statement “during the past year”, the access control unit 5 determines that the next statistical process is not the sixth type of statistical process in the past year. If access to anonymized information generated from a group (A-year national medical information) is permitted and the next statistical process is the sixth type of statistical process in the past year, the population (A-year national medical information) Information) is not allowed to access the anonymized information.

分析受付GW1は、アクセス制御部5からの判定結果を受け取り、年齢構成に関する匿名化処理済み情報DB7、地域構成に関する匿名化処理済み情報DB8、又は体型構成に関する匿名化処理済み情報DB9に対して、分析処理要求に応じたデータ抽出を要求し(ST16)、抽出結果の返却を受信し(ST17)、基本分析部3に対して抽出データの基本分析を要求する(ST18)。基本分析部3が抽出データを分析し、分析結果を返却し、分析受付GW1が分析結果を受信する(ST19)。分析受付GW1は、データ出力部2を介して、分析結果を閲覧可能として提供し、分析者のパーソナルコンピュータ等からのアクセス(閲覧)を受付けることができる(ST20)。   The analysis reception GW1 receives the determination result from the access control unit 5, and for the anonymized information DB7 regarding the age configuration, the anonymized information DB8 regarding the regional configuration, or the anonymized information DB9 regarding the body configuration, Data extraction according to the analysis processing request is requested (ST16), the return of the extraction result is received (ST17), and basic analysis of the extracted data is requested to the basic analysis unit 3 (ST18). The basic analysis unit 3 analyzes the extracted data, returns the analysis result, and the analysis reception GW1 receives the analysis result (ST19). The analysis reception GW1 provides the analysis result as being viewable via the data output unit 2, and can accept access (viewing) from an analyst's personal computer or the like (ST20).

例えば、分析受付GW1は、匿名化処理により母集団から生成された匿名化情報を受け取り、基本分析部3がこの匿名化情報を分析し、分析受付GW1は、データ出力部2を介して、分析結果を閲覧可能として提供する。   For example, the analysis reception GW1 receives the anonymization information generated from the population by the anonymization process, the basic analysis unit 3 analyzes the anonymization information, and the analysis reception GW1 analyzes via the data output unit 2 Provide results as viewable.

上記のように、アクセス制御部5が、アクセス制御ルール及び統計処理操作ログに基づき、アクセスを許可した場合に限り、匿名化情報に基づく分析結果が提供されるので、複数種類の匿名化処理により一つの母集団から生成される複数種類の匿名化情報に基づく複数種類の分析結果を無制限に提供しない。これにより、複数種類の匿名化情報に基づく複数種類の分析結果から母集団の情報を復元するような不正を防止することができる。なお、アクセス制御のデフォルト判定を全分析拒否とし、安全性を確保するようにしてもよい。システム管理者は、利用者からの分析受付GWの利用に関する申請(アクセス権限処理システムへのアカウント登録)に基づき、アクセス制御ルールに対して申請された利用者の利用を許可するための定義情報を設定する。これにより、利用者によるシステムの利用が可能となる。   As described above, the analysis result based on the anonymization information is provided only when the access control unit 5 permits access based on the access control rule and the statistical processing operation log. A plurality of types of analysis results based on a plurality of types of anonymized information generated from one population are not provided without limitation. Thereby, the injustice which restores information of a population from a plurality of kinds of analysis results based on a plurality of kinds of anonymized information can be prevented. The default determination of access control may be set to reject all analyzes to ensure safety. Based on the application regarding the use of the analysis reception GW from the user (account registration to the access authority processing system), the system administrator provides definition information for permitting the use of the user who has applied for the access control rule. Set. As a result, the user can use the system.

図5は、図1に示すアクセス権限処理システムによるログ検索条件取得(ST11)及び過去ログ検索(ST12)の一例を示すフローチャートである。アクセス制御部5は、アクセス制御判定要求に基づき(ST101)、分析処理要求内容を取得し(ST102)、検索範囲定義情報を取得する(ST103)。分析処理要求内容は、統計処理操作ログ構成要素を含む。検索範囲定義情報とは、アクセス制御ルールとは別で管理されている検索範囲を定義するファイル或いはテーブルである。定義されている内容は、[母集団、検索範囲]であり、例えば、[母集団:A年度全国医療情報、検索範囲:1年]、[母集団:B年度〇×健保組合医療情報、検索範囲:6ヶ月]である。   FIG. 5 is a flowchart showing an example of log search condition acquisition (ST11) and past log search (ST12) by the access authority processing system shown in FIG. Based on the access control determination request (ST101), the access control unit 5 acquires the analysis processing request content (ST102), and acquires search range definition information (ST103). The analysis processing request content includes a statistical processing operation log component. The search range definition information is a file or table that defines a search range managed separately from the access control rule. The defined contents are [Population, search range], for example, [Population: National A year medical information, search range: 1 year], [Population: Year B x Health insurance association medical information, search Range: 6 months].

アクセス制御部5は、定義ファイルを取得し(ST104、YES)、定義ファイルに基づき検索範囲をセットし(ST105)、アクセスログから状況等を検索する(ST106)。   The access control unit 5 acquires the definition file (ST104, YES), sets a search range based on the definition file (ST105), and searches the status etc. from the access log (ST106).

例えば、分析処理要求内容が、A年度全国医療情報の分析処理要求であり、定義ファイルが[母集団:A年度全国医療情報、検索範囲:1年]を含む場合、ログ検索は、分析処理要求内容の要求元の情報から判明するアクセス元からの過去1年のA年度全国医療情報に対するアクセス状況及び処理状況が検索される。   For example, when the analysis processing request content is an analysis processing request for national medical information for year A and the definition file includes [population: national medical information for fiscal year A, search range: one year], log search is an analysis processing request. The access status and processing status for the national medical information in the past year A from the access source determined from the information of the content request source are searched.

また、分析処理要求内容が、C年度〇〇県医療情報の分析処理要求であり、定義ファイルが未定義の場合、検索範囲はセットされず、ログ検索は、分析処理要求内容の要求元の情報から判明するアクセス元からの過去すべてのC年度〇〇県医療情報に対するアクセス状況及び処理状況が検索される。   In addition, if the analysis processing request content is an analysis processing request for medical information in fiscal year C, and the definition file is undefined, the search range is not set, and the log search is the information of the request source of the analysis processing request content The access status and processing status for all past C medical information from the access source determined from the search are searched.

図6は、図1に示すアクセス権限処理システムによるアクセス判定(ST14)の一例を示すフローチャートである。   FIG. 6 is a flowchart showing an example of access determination (ST14) by the access authority processing system shown in FIG.

アクセス制御部5は、ルール検索結果とログ検索結果を呼び出し、ルール検索結果とログ検索結果に基づき、当該母集団に関する匿名化処理の種類数はルールに許可されている範囲の種類数以内であれば次の判定へ移行し(ST202、YES)、種類数を越えるならばアクセス権限無しと判定する(ST207)。   The access control unit 5 calls the rule search result and the log search result, and based on the rule search result and the log search result, the number of types of anonymization processing related to the population is within the number of types allowed for the rule. If the number of types is exceeded, it is determined that there is no access authority (ST207).

さらに、アクセス制御部5は、ルール検索結果とログ検索結果に基づき、当該母集団に関する結果はルールに許可として記載された要求形式であれば次の判定へ移行し(ST203、YES)、要求形式でなければアクセス権限無しと判定する(ST207)。   Further, based on the rule search result and the log search result, the access control unit 5 proceeds to the next determination if the result regarding the population is a request format described as permitted in the rule (ST203, YES), and the request format Otherwise, it is determined that there is no access authority (ST207).

さらに、アクセス制御部5は、ルール検索結果とログ検索結果に基づき、アクセス元はルールに許可として記載された利用者属性であれば次の判定へ移行し(ST204、YES)、利用者属性でなければアクセス権限無しと判定する(ST207)。   Further, based on the rule search result and the log search result, the access control unit 5 moves to the next determination if the access source is a user attribute described as permitted in the rule (ST204, YES). If not, it is determined that there is no access authority (ST207).

さらに、アクセス制御部5は、ルール検索結果とログ検索結果に基づき、アクセス元はルールに許可として記載された利用者個人であればアクセス権限有りと判定し(ST205)、利用者属性でなければアクセス権限無しと判定する(ST207)。   Further, based on the rule search result and the log search result, the access control unit 5 determines that the access source has the access authority if the access source is an individual user described as permitted in the rule (ST205). It is determined that there is no access authority (ST207).

以下、アクセス権限処理システムのアクセス制御を適用しないケースを説明し、これに対比してアクセス権限処理システムのアクセス制御の作用効果について説明する。上記のアクセス制御を実行しない場合、個人情報を保護するため一つの母集団の情報へのアクセスが制限されていたとしても、複数種類の匿名化処理により一つの母集団の情報から複数種類の匿名化情報を生成し、これら複数種類の匿名化情報から生成される複数種類の統計情報を分析することにより(例えば複数種類の統計情報を様々な形式で結びつけることにより)、匿名化された情報(個人情報)が推測又は復元されることがある。   Hereinafter, a case where the access control of the access authority processing system is not applied will be described, and the effect of the access control of the access authority processing system will be described in contrast to this. If the above access control is not executed, even if access to information of one population is restricted in order to protect personal information, multiple types of anonymization processing can be applied to multiple types of anonymous information. Anonymized information (for example, by combining multiple types of statistical information in various formats) by generating statistical information and analyzing multiple types of statistical information generated from these multiple types of anonymized information ( Personal information) may be guessed or restored.

例えば、年齢構成に関する匿名化処理済み情報を統計処理した結果、地域構成に関する匿名化処理済み情報を統計処理した結果、及び体型構成に関する匿名化処理済み情報を統計処理した結果を組み合わせて解析すると、匿名化処理されたはずの個人情報等を絞り込んだり、推測したり、或いは特定したりすることができる場合がある。   For example, as a result of statistical processing of anonymized processing information related to age composition, a result of statistical processing of anonymized processing information related to regional configuration, and a result of statistical processing of anonymized processing information related to body type composition are combined and analyzed, In some cases, it is possible to narrow down, infer or specify personal information that should have been anonymized.

本実施形態の医療情報システムは、上記したアクセス制御を実行するので、匿名化された情報を復元しようとして複数種類の匿名化情報から生成される複数種類の統計情報を入手しようとした場合に、制限がかかるので(例えば図3に示すようにA年度全国医療情報の統計処理は5種類まで、B年度〇×健保組合医療情報の統計処理は4種類まで)、制限された種類数を越えた統計処理の処理結果を入手させない。これにより、上記したように、匿名化された情報(個人情報)が絞り込まれたり、推測されたり、或いは特定されたりするのを防止できる。   Since the medical information system of the present embodiment performs the above-described access control, when trying to obtain a plurality of types of statistical information generated from a plurality of types of anonymized information in an attempt to restore anonymized information, Because there are restrictions (for example, as shown in Fig. 3, statistical processing of national medical information for fiscal year A is limited to 5 types, statistical processing of medical information for health insurance associations is limited to 4 types for fiscal year B), the number of limited types exceeded Do not get the results of statistical processing. Thereby, as above-mentioned, it can prevent that the anonymized information (personal information) is narrowed down, guessed, or specified.

さらに上記説明した実施形態に対して、ダミー処理及び匿名化処理済みデータを一時的に提供する処理を組み合わせて実施することもできる。   Furthermore, it is possible to combine the embodiment described above with a process of temporarily providing dummy processing and anonymized data.

オリジナルの医療情報を平文で保管することは、安全性の面から適切ではない。しかしながら、予め匿名化処理により匿名化された医療情報を保管すると、オリジナルの医療情報に含まれていた一部の情報が欠落するため、統計処理に支障が出たり、統計処理の用途が限定されたりすることが考えられる。   Keeping the original medical information in clear text is not appropriate for safety reasons. However, if medical information that has been anonymized in advance by anonymization processing is stored, some of the information included in the original medical information is lost, so that statistical processing is hindered and the use of statistical processing is limited. Can be considered.

例えば、オリジナルの医療情報を保管せず、年齢構成に関する匿名化処理済みの医療情報、地域構成に関する匿名化処理済みの医療情報、及び体型構成に関する匿名化処理済みの医療情報を保管するケースを想定する。この場合、安全性については向上するものの、例えば、年齢構成に関する匿名化処理済みの医療情報に着目すると、年齢構成については外れ値が除去されるため、年齢構成を使った統計の精度が低下することが考えられ、統計処理の用途が限定されてしまう。地域構成に関する匿名化処理済みの医療情報、及び体型構成に関する匿名化処理済みの医療情報についても同様である。従って、オリジナルの医療情報を安全に保管する技術が要望される。   For example, it is assumed that original medical information is not stored, but anonymized medical information related to age structure, anonymized medical information related to regional structure, and anonymized medical information related to body structure are stored To do. In this case, although the safety is improved, for example, when attention is paid to the medical information that has been anonymized regarding the age configuration, outliers are removed for the age configuration, so the accuracy of statistics using the age configuration decreases. Therefore, the use of statistical processing is limited. The same applies to the medical information that has been anonymized regarding the regional configuration and the medical information that has been anonymized regarding the body configuration. Therefore, there is a demand for a technique for safely storing original medical information.

そこで、オリジナルの医療情報をそのまま保管する方法に替えて、ダミー処理によりダミーデータを混在させた医療情報を保管することにより、一定水準での医療情報の安全性を確保することができる。ここで、ダミー処理について説明する。アクセス権限処理システムは、ダミーデータ管理テーブルを保持し、ダミーデータ管理テーブルに基づき医療情報(種類など)に応じたダミー処理を選択し、選択したダミー処理に基づきオリジナルの医療情報からダミーデータを含む医療情報を生成し、ダミーデータを含む医療情報を保管する。これにより、例えば、悪意のある人物により、保管されている医療情報が抜き取られたとしても、抜き取られた医療情報にはダミー処理によりダミーデータが混在されているので、抜き取られた医療情報から正しい情報をつかむことは容易ではない。ダミーデータ管理テーブルは、医療情報の提供元及び医療情報の種類等に応じたダミー処理を指定する情報を含む。   Therefore, instead of the method of storing the original medical information as it is, the medical information in which the dummy data is mixed by the dummy process is stored, thereby ensuring the safety of the medical information at a certain level. Here, the dummy process will be described. The access authority processing system holds a dummy data management table, selects a dummy process corresponding to medical information (type, etc.) based on the dummy data management table, and includes dummy data from the original medical information based on the selected dummy process. Medical information is generated and medical information including dummy data is stored. Thereby, for example, even if the stored medical information is extracted by a malicious person, dummy data is mixed in the extracted medical information by dummy processing. It is not easy to get information. The dummy data management table includes information designating dummy processing according to the provider of medical information, the type of medical information, and the like.

統計処理(オリジナルの医療情報)が要求された場合、アクセス権限処理システムは、ダミーデータ管理テーブルに基づきダミーデータを含む医療情報からオリジナルの医療情報を生成し、オリジナルの医療情報を匿名化し、匿名化された医療情報を統計処理し、統計結果(分析結果)を提供(出力)する。また、匿名化された医療情報の提供は一時的なものとし、統計処理後に匿名化された医療情報を削除する。以上により、医療情報から個人情報等が流出するのを防止することができる。   When statistical processing (original medical information) is requested, the access authority processing system generates original medical information from medical information including dummy data based on the dummy data management table, anonymizes the original medical information, and makes the anonymous The processed medical information is statistically processed, and statistical results (analysis results) are provided (output). The provision of anonymized medical information is temporary, and the anonymized medical information is deleted after statistical processing. As described above, personal information and the like can be prevented from leaking from medical information.

なお、上記アクセス制御、統計処理(分析処理)、ダミー処理、匿名化処理等の処理の全ての手順はソフトウェアによって実行することが可能である。このため、上記処理の手順を実行するプログラムを格納したコンピュータ読み取り可能な記憶媒体を通じてこのプログラムを通常のコンピュータにインストールして実行するだけで、上記処理を容易に実現することができる。   Note that all the procedures of the access control, statistical processing (analysis processing), dummy processing, anonymization processing, and the like can be executed by software. For this reason, the above-described processing can be easily realized only by installing and executing this program on a normal computer through a computer-readable storage medium storing a program for executing the above-described processing procedure.

例えば、アクセス権限処理システム(分析受付GW1)は、上記プログラムをダウンロードし、ダウンロードしたプログラムを記憶し、プログラムのインストールを完了することができる。これにより、上記コンピュータに相当するアクセス権限処理システム(基本分析部3、アクセス制御部5等)は、インストールされた上記プログラムに基づき、上記処理を容易に実現することができる。   For example, the access authority processing system (analysis reception GW1) can download the program, store the downloaded program, and complete the installation of the program. Thereby, the access authority processing system (basic analysis unit 3, access control unit 5, etc.) corresponding to the computer can easily realize the processing based on the installed program.

また、アクセス権限処理システムは、コンピュータ読み取り可能な記憶媒体から上記プログラムを読み取り、読み取ったプログラムを記憶し、プログラムのインストールを完了することができる。これにより、アクセス権限処理システムは、インストールされた上記プログラムに基づき、上記処理を容易に実現することができる。   The access authority processing system can read the program from a computer-readable storage medium, store the read program, and complete the installation of the program. Thereby, the access authority processing system can easily realize the processing based on the installed program.

その他にも、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。   In addition, various modifications can be made without departing from the scope of the present invention.

要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。   In short, the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Further, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, you may combine suitably the component covering different embodiment.

1…分析受付GW、2…データ出力部、3…基本分析部、4…統計処理操作ログ記憶部、5…アクセス制御部、6…アクセス制御ルール記憶部、7…年齢構成に関する匿名化処理済み情報DB、8…地域構成に関する匿名化処理済み情報DB、9…体型構成に関する匿名化処理済み情報DB、10…統計処理用情報DB、11…匿名化処理部。 DESCRIPTION OF SYMBOLS 1 ... Analysis reception GW, 2 ... Data output part, 3 ... Basic analysis part, 4 ... Statistical process operation log storage part, 5 ... Access control part, 6 ... Access control rule storage part, 7 ... Anonymization processing regarding age structure Information DB, 8... Anonymized information DB related to regional configuration, 9... Anonymized processed information DB related to body configuration, 10... Statistical processing information DB, 11.

Claims (5)

匿名化処理により得られる匿名化情報の分析要求を受付ける受付手段と、
前記分析要求に基づきログを抽出する抽出手段と、
前記分析要求に基づき制御ルールを参照する参照手段と、
前記ログ及び前記制御ルールに基づき前記匿名化情報へのアクセスの可否を判定する判定手段と、
前記匿名化情報へのアクセス許可の判定に基づき前記匿名化情報の分析結果を提供する情報提供手段と、
を備え
前記抽出手段は、前記分析要求に基づき、前記匿名化情報の母集団に関する操作ログを抽出し、
前記参照手段は、前記分析要求に基づき、前記母集団に関するアクセス制御ルールを参照し、
前記判定手段は、前記操作ログ及び前記アクセス制御ルールに基づき前記匿名化情報へのアクセスの可否を判定するアクセス権限処理システム。 A receiving means for receiving an anonymized information analysis request obtained by anonymization processing;
Extracting means for extracting a log based on the analysis request;
Reference means for referring to the control rule based on the analysis request;
Determination means for determining whether or not access to the anonymized information is based on the log and the control rule;
An information providing means for providing an analysis result of the anonymized information based on a determination of access permission to the anonymized information;
Equipped with a,
The extraction means extracts an operation log related to a population of the anonymized information based on the analysis request,
The reference means refers to an access control rule regarding the population based on the analysis request,
The determination means is an access authority processing system for determining whether or not access to the anonymized information is possible based on the operation log and the access control rule . 前記操作ログは、前記母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理を実施したかを示す情報を含み、
前記アクセス制御ルールは、前記母集団から生成される1種類以上の匿名化情報に対して何種類の統計処理までであれば前記匿名化情報へのアクセスを許容するかを示す情報を含む請求項のアクセス権限処理システム。 The operation log includes information indicating how many types of statistical processing have been performed on one or more types of anonymized information generated from the population,
The access control rule includes information indicating how many types of statistical processing are allowed for one or more types of anonymized information generated from the population, and access to the anonymized information is permitted. 1. Access authority processing system. 前記情報提供手段は、前記匿名化情報へのアクセス許可の判定に基づき分析処理部へ前記匿名化情報の分析を要求し、前記匿名化情報の前記分析結果を受け取り、前記分析結果を提供する請求項1又は2のアクセス権限処理システム。 The information providing means requests an analysis processing unit to analyze the anonymized information based on a determination of access permission to the anonymized information, receives the analysis result of the anonymized information, and provides the analysis result. Item 3. The access authority processing system according to Item 1 or 2 . 匿名化処理により得られる匿名化情報の分析要求を受付け、
前記分析要求に基づき前記匿名化情報の母集団に関する操作ログを抽出し、
前記分析要求に基づき前記母集団に関するアクセス制御ルールを選択し、
前記操作ログ及び前記アクセス制御ルールに基づき前記匿名化情報へのアクセスの可否を判定し、
前記匿名化情報へのアクセス許可の判定に基づき前記匿名化情報の分析結果を提供するアクセス権限処理方法。 Accepting an analysis request for anonymized information obtained by anonymization processing,
Based on the analysis request, extract an operation log related to the anonymized information population ,
Selecting an access control rule for the population based on the analysis request;
Determining whether or not access to the anonymized information is based on the operation log and the access control rule,
An access authority processing method that provides an analysis result of the anonymized information based on a determination of access permission to the anonymized information. 請求項1乃至の何れか1つのアクセス権限処理システムが備える各手段の処理をコンピュータに実行させるプログラム。 The program which makes a computer perform the process of each means with which any one of the access authority processing systems of Claim 1 thru | or 3 is provided.
JP2014079674A 2014-04-08 2014-04-08 Access authority processing system, access authority processing method, and program Expired - Fee Related JP6040194B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014079674A JP6040194B2 (en) 2014-04-08 2014-04-08 Access authority processing system, access authority processing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014079674A JP6040194B2 (en) 2014-04-08 2014-04-08 Access authority processing system, access authority processing method, and program

Publications (2)

Publication Number Publication Date
JP2015201049A JP2015201049A (en) 2015-11-12
JP6040194B2 true JP6040194B2 (en) 2016-12-07

Family

ID=54552256

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014079674A Expired - Fee Related JP6040194B2 (en) 2014-04-08 2014-04-08 Access authority processing system, access authority processing method, and program

Country Status (1)

Country Link
JP (1) JP6040194B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017215868A (en) * 2016-06-01 2017-12-07 Necソリューションイノベータ株式会社 Anonymization processing device, anonymization processing method, and program
CN109564616A (en) * 2016-06-30 2019-04-02 飞索科技有限公司 Personal information goes markization method and device
JP7164333B2 (en) * 2018-06-27 2022-11-01 株式会社日立製作所 Personal information analysis system
JP6774125B1 (en) * 2019-11-22 2020-10-21 有限会社はるか薬局 Response support system and wide area response support system
WO2022259516A1 (en) * 2021-06-11 2022-12-15 日本電信電話株式会社 Prohibited operation prevention system, prohibited operation prevention device, prohibited operation prevention method, and program

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5944268B2 (en) * 2012-08-24 2016-07-05 Kddi株式会社 User information management apparatus, program, and method for notifying provision record of user non-specific information

Also Published As

Publication number Publication date
JP2015201049A (en) 2015-11-12

Similar Documents

Publication Publication Date Title
JP4395178B2 (en) Content processing system, method and program
US11126743B2 (en) Sensitive data service access
US12277242B2 (en) Redacting restricted content in files
JP6040194B2 (en) Access authority processing system, access authority processing method, and program
US10897452B2 (en) Systems and methods for implementing a privacy firewall
JP7201326B2 (en) Anonymous processing device, information anonymization method, and program
US10657273B2 (en) Systems and methods for automatic and customizable data minimization of electronic data stores
Bogoni et al. Impending anthropogenic threats and protected area prioritization for jaguars in the Brazilian Amazon
Aase et al. Whiskey, Weed, and Wukan on the World Wide Web: On Measuring Censors' Resources and Motivations.
JP5533291B2 (en) Privacy protection device, privacy protection method and program
US20250021692A1 (en) Obfuscation of personally identifiable information
EP3371729A1 (en) Dynamic de-identification of healthcare data
EP3479274B1 (en) Sensitive data service storage
JP6002712B2 (en) Information processing system, information processing method, and program
US11934551B2 (en) Processing per-use requests for user data
Vaidya et al. A forensic study of Tor usage on the Raspberry Pi platform using open source tools
JP7143696B2 (en) Anonymization device, anonymization system, anonymization method, and program
Momen Freedom of expression in the digital age: Internet censorship
Momen Freedom of Expression in the Digital Age: Internet Censorship
KR20130049528A (en) Pseudonym-based method to guarantee anonymity in privacy data management
JP7492663B2 (en) Service management device
Celik et al. Protection of Personal Data Transmitted via Web Service Against Software Developers
Sharma et al. Framework for Live Forensics of a System by Extraction of Clipboard Data and Other Forensic Artefacts from RAM Image

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150917

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160830

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161101

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161107

R150 Certificate of patent or registration of utility model

Ref document number: 6040194

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees